A Casbaneiro banki rosszindulatú program új lopakodó funkciókkal frissítve

A Casbaneiro banki kártevőért felelős csoport taktikáját fejlesztette, hogy elkerülje az észlelést, és teljes adminisztratív irányítást szerezzen a fertőzött gépek felett. Ez a pénzügyileg motivált fenyegetés szereplő a felhasználói fiókok felügyeletének (UAC) megkerülő technikáját alkalmazta, amely magasabb jogosultságokat biztosít számukra a feltört rendszeren, jelezve, hogy képesek alkalmazkodni az új biztonsági intézkedésekhez.

Bár elsődlegesen továbbra is a latin-amerikai pénzintézeteket célozzák meg, megváltozott megközelítésük jelentős kockázatot jelent a multiregionális pénzügyi szervezetek számára. A Sygnia kiberbiztonsági cég figyelmeztetett ezekre a változásokra, hangsúlyozva a lehetséges következményeket az intézmények szélesebb körére.

Casbaneiro - Régi kutya, új trükkök

A Casbaneiro, más néven Metamorfo és Ponteiro 2018-ban kezdetben a latin-amerikai pénzügyi szektorokat megcélzó tömeges e-mailes spam kampányok révén vált ismertté. A fertőzési folyamat általában egy rosszindulatú mellékletet tartalmazó adathalász e-maillel kezdődik. Megnyitáskor ez a melléklet műveletsort indít el, amely a banki kártevő telepítéséhez vezet. Ezen túlmenően a „life-off-the-land” (LotL) technikákat alkalmazzák a gazdagép ujjlenyomatára és a rendszer metaadatainak gyűjtésére.

Ebben a szakaszban letöltődik a Horabot nevű bináris fájl, amely a fertőzést belsőleg terjeszti a megsértett szervezet más alkalmazottai között. Ez segít a rosszindulatú szereplőknek megőrizni adathalász e-mailjeik hitelességét, és elkerülni az észlelést azáltal, hogy elkerülik az e-mailek fejlécében lévő nyilvánvaló anomáliákat.

A legutóbbi támadási hullámok eltolódást mutattak a kezdeti támadási vektorban. Ahelyett, hogy rosszindulatú PDF-mellékleteket használnának ZIP-fájlokra mutató letöltési hivatkozásokkal, a támadók mostantól az adathalász e-mailekre hagyatkoznak, amelyek HTML-fájlokra mutató hivatkozásokat tartalmaznak, amelyek átirányítják a célpontot egy RAR-fájl letöltésére.

A támadók módszereinek ezen módosításai alátámasztják eltökéltségüket, hogy a biztonsági intézkedések előtt maradjanak, és továbbra is a térség pénzügyi intézményeit célozzák meg. A szervezeteknek ébernek kell maradniuk, és úgy kell módosítaniuk védekezésüket, hogy hatékonyan leküzdjék ezeket a fejlődő fenyegetéseket.